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PROCEDURE SECURISEE DE CONTROLE DE TRANSFERT D» UNITES 
DE VALEUR DANS UN SYSTEME DE JEU A CARTE A PUCE 

La presente invention concerne le domaine des 
5 machines a sous, telles que les dispositifs de jack-pot 
et les autres dispositifs de jeux d* argent individuels 
du type de ceux que l*on trouve dans les casinos • 

Elle concerne plus particulierement des machines a 
sous permettant d ' enregistrer des mises et des gains 

10 avec des cartes de jeu, Les cartes de jeu sont du type 
carte a puce ou carte sans contact, Les cartes de jeu 
peuvent etre dediees a cette utilisation suivant 
I'exemple des cartes telephoniques • Elles sont 
avantageusement constituees par des cartes bancaires, 

15 permettant de transferer des sommes d' argent 
directement sur la machine a sous* 

La presente demande vise un precede et un systeme 
de controle de transfert d' unites de valeur entre une 
pluralite de cartes de jeu et une pluralite de machines 

20 de jeu, chaque machine etant connectee a un 
transcripteur de donnees sur cartes de jeu apte a 
crediter et/ou a debiter des unites de valeur en 
memoire d'une carte de jeu, 

Un objectif general du controle de transfert 

25 d' unites de valeurs entre cartes de jeu et machines de 
jeu est d*eviter toute malversation financiere a I'aide 
de telle cartes. 

On connait deja des systemes de gestion pour des 
machines de jeu equipees de lecteurs de cartes a puce, 

3 0 adaptes a la gestion d*un pare de machines de jeux 
disposees dans des sites relativement fermes et 
controles comma les casinos ♦ Ces systemes sont adaptes 
a un tel environnement, car il font I'objet de 
controles et de reglementations importants, peu 
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susceptibles de permettre des fraudes sur les 
transactions de jeux utilisant des cartes a puce, 

Le document EP-A-0 3 60 613 d^crit par exemple un 
systeme de transfert de donn^es entre carte a puce et 
5 une plural ite de machines avec des moyens de 
transmission et de stockage des donnees machine dans la 
carte a puce, Un tel systeme permet d'effectuer un 
releve des operations de jeu avec une carte de collecte 
stockant une liste des operations de jeux effectuees 

10 dans un but comptable ou fiscal. 

Un inconvenient d*un tel systeme est qu*on ne peut 
pas contr61er toutes les operations de jeu effectuees, 
sauf a relever toutes les machines avec la carte de 
collecte, ce qui occasionne des manipulations 

15 f astidieuses, 

D' autre part, devant la demande croissante du 
public, il est envisage d' installer des machines de jeu 
dans des sites moins proteges que les casinos comme des 
salles de jeux privees qu des bars, voire meme dans des 

20 lieux d' habitation prives comme le domicile des 
joueurs. 

II apparait clairement qu'une telle dispersion des 
machines de jeu pose d'importants problemes de securite 
des transactions suite "aux operations de jeu, 
25 Un but de 1 • invention est de permettre un 

developpement des machines de jeu fonctionnant avec des 
cartes a puce dans des lieux non proteges. 

Un autre but de 1 * invention est de renf orcer 
I'integrite des systemes de machines de jeux 
30 fonctionnant avec des cartes de jeu. 

L* invention prevoit que les machines de jeu sont 
reliees en reseau avec un organe central de gestion. 
Selon 1' invention on a prevu que 1' organe central de 
gestion comporte une base de donnees, dans laquelle 



sont stockees des informations correspondantes a celles 
stockees sur les cartes de jeu comme des informations 
sur le joueur ainsi que des donnees d ' identification 
des cartes et des donnees renseignant sur le solde de 
la valeur stockee dans la carte. Une verification des 
donnees de la carte par rapport aux donnees de la base 
de I'organe central de gestion permet d* assurer 
I'integrite d*un tel systeme de machines de jeu 
fonctionnant avec des cartes a puce ou des cartes sans 
contact. 

L* invention prevoit ainsi un precede securise de 
controle de transferts d' unites de valeur entre une 
pluralite de cartes de jeu et une plural ite de machines 
de jeu, chaque machine etant connectee a un 
transcripteur de donnees sur carte de jeu, les machines 
etant reliees en reseau securise avec un organe central 
de gestion par 1 ' intermediaire de moyens de liaison, le 
precede comportant des etapes consistant, au cours 
d'une operation de jeu, a : 

- lire des donnees en memoire d*une carte de jeu, 
notamment un numero d * identification de la carte et des 
donnees representatives des unites de valeur debitees 
et/ou creditees au cours des operations de jeu 
precedentes, - 

- echanger des donnees entre la machine et une base 
de donnees de I'organe central de gestion par 
1 * intermediaire des moyens de liaison du reseau 
securise, _ notamment des donnees representatives de 
solde des unites de valeur et/ou le numero 
d' identification de la carte ; et, 

- verifier que les donnees en memoire de la carte 
de jeu correspondent aux donnees de la base de donnees 
afin de controler I'integrite d'un systeme constitue 



par une telle carte, une telle machine, le reseau et 
I'organe central de gestion, 

L' invention prevoit avantageusement des moyens de 
securisation qui permettent d'authentif ier les messages 
de donnees echang^es sur le reseau, c'est-a-dire de 
signer de tels messages. 

L* invention prevoit en outre un systeme securise 
de controle de transferts d' unites de valeur entre une 
pluralite de cartes de jeu et une plural ite de machines 
de jeu, chaque machine etant pourvue d'un transcripteur 
apte a debiter des unites de valeur d'une carte de jeu, 
les machines etant reliees en reseau securise avec un 
organe central de gestion par 1 ' intermediaire de moyens 
de liaison, une carte de jeu stockant en memoire des 
donnees representatives d' operations de jeu effectuees, 
notamment des donnees d' identification de la carte et 
des donnees representatives de solde des valeurs 
debitees et/ou creditees au cours des operations de jeu 
precedentes, caracterise- en ce que 1 'organe central de 
gestion comporte une base de donnees stockant 
parallelement en memoire les donnees representatives 
des operations de jeu effectuees, notamment les donnees 
d' identification des cartes et les donnees 
representatives des soldes des valeurs debitees et/ou 
creditees au cours des operations de jeu precedentes et 
en ce que des moyens de controle verifient que, pour 
une carte identifiee, les donnees de la base et les 
donnees de* la carte correspondent, notamment que les 
donnees representatives du solde correspondent, afin de 
verifier l*integrite du systeme. 

Un module de securisation pour 1 * authentif ication 
des messages de donnees peut avantageusement etre prevu 
dans le reseau, au niveau d'un transcripteur, d'une 



ina chine, de I'organe central, ou meme des moyens de 
liaison du reseau. 

L* invention sera mieux comprise a la lecture de la 
description et des dessins qui suivent, donnes 
uniquement a titre d*exemples non limitatifs ; sur les 
dessins annexes : 

* la figure 1 represente un systeme securise de 
controle de transfert d' unites de valeurs entre une 
pluralite de cartes de jeu et une plural ite de machines 
de jeu apte a mettre en oeuvre 1* invention ; 

- la figure 2 represente un schema d'echange et de 
verification des donnees selon 1' invention ; et, 

- la figure 3 represente un calcul de certificat 
d' authentif ication par des moyens de securisation selon 
1 ' invention. 

Sur la figure I on a represente un systeme securise 
de machines de jeu tel que propose par 1* invention, et 
qui comprend une ou plusieurs machines de jeu 200, 
200' , 200" et 200'". 

Une telle machine de jeu 200, semblable aux 
machines a sous que I'on trouve dans les casinos 
dispose d'un monnayeur electronique 210 que I'on 
appellera par la suite transcripteur de donnees sur 
cart-e de jeu CJ, " 

Le transcripteur de donnees sur carte 210 est relie 
a 1 ' electronique de la machine 200, par exemple par une 
liaison serie de type RS 485. La machine et le lecteur 
comportent- des interfaces entree-sortie adaptees a 
cette liaison. 

De fa9on classique, la machine est equipee d*un 
ecran d*affichage 211 qui permet aux joueurs de savoir 
a tout instant quel est le solde dont il dispose pour 
jouer et le montant des mises et des gains realises. 
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La machine 200 qui a ete representee peut bien sOr 
etre une machine a monnayeur ^lectronique 
exclusivement, mais aussi une machine a double 
monnayeur, c'est-a-dire une machine qui comporte outre 
5 ce monnayeur eiectronique, un monnayeur a pieces (ou a 
jetons) symbolise par la reference 201. 

Dans le cas d'une machine h double monnayeur, le 
joueur aura la possibilite de jouer avec des pieces ou 
jetons et de se faire restituer ses gains uniquement 
10 sous la forme de pieces, 

Les cartes de jeu CJ representees sous forme de 
cartes a puce comportent une memoire morte effagable 
electriquement, par exemple une memoire de type EEPROM. 
II peut s*agir egalement de cartes a puce 
15 comportant un microprocesseur , une memoire de 
programmes et une memoire de travail de type RAM. 

Ces cartes a puce peuvent egalement etre des cartes 
a chargement d' unites de type rechargeable. Ces cartes 
comportent pour cela une memoire electriquement 
20 programmable du genre boulier. 

En outre les cartes de jeu peuvent etre const ituees 
par des cartes sans contact, la carte comportant un 
circuit integre a memoire et microprocesseur , et un 
circuit eiectronique de transmission de donnees sans 
25 contact electrique. On peut par exemple utiliser un 
transpondeur tel que decrit dans la demande de brevet 
FR - 96 16061. 

La realisation des machines de jeu 200 et leur 
connexion a des transcripteurs de donnees sur cartes de 
30 jeu ne sera pas detaillee ici, Des exemples de 
realisations de machines de jeu sont detailles par 
exemple dans la demande de brevet FR - 96 10031 dont la 
description est incorporee a la presente. 
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Afin de controler les operations de jeux et les 
transactions avec les cartes, il est prevu de relier 
les machines 200, 200 200", 200*" en reseau, avec un 
organe central de gestion representes sous la reference 
5 1 a la figure 1. Les machines du reseau sont reliees a 
1' organe central de gestion 1 par des moyens de liaison 
123. Comme representees a la figure 1, les machines 
200, 200', 200", 200'" peuvent egalement §tre reliees 
entre elles par le reseau. 

10 Les moyens de liaison 123 sont constitues dans le 

cas d'un reseau local comme celui d'un casino par une 
liaison locale. La liaison locale est par exemple une 
liaison serie de type RS 485, un bus de liaison 
parallele , une fibre optique, une liaison radio ou 

15 tout autre support de transmission. 

Dans le cas d'un reseau joignant des salles de jeu 
dispersees, les moyens de liaisons peuvent etre 
constitues par des canaux de transmission propres au 
reseau ou par des lignes telephoniques. 

20 Pour etablir des liaisons telephoniques, le reseau 

comporte des modulateurs-demodulateurs de type MODEM 
120, 120', 120" et 120"', disposes en interface entre 
les moyens de liaison 123 et une machine de jeux 200, 
200*, 200", 200"' respeetivement . 

25 L» organe central de gestion 1 est constitue par 

exemple d'un ordinateur central relie egalement aux 
moyens de liaison 123 par un MODEM 101 de fagon a faire 
partie du xeseau. 

Sur la figure 1 on a represente des moyens de 

30 liaison 12 3 sous la forme schematique d'une ligne 
annulaire a laquelle les machines de jeux 200, 200', 
200" et 200"' sont connectees. Les machines sont ainsi 
reliees entre elles et a 1' organe central de gestion !• 
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La liaison peut cependant prendre toutes sortes de 
formes equivalentes . 

Dans le cas de liaisons telephoniques, les machines 
sont reliees individuellement aux moyens centralises de 
5 gestion, les machines n'etant pas necessairement 
reliees entre el les, Le MODEM 101 des xnoyens de gestion 
1 peut comporter avantageusement un standard de 
plusieurs lignes telephoniques. 

L* utilisation de liaisons telephoniques pr^sente 

10 I'avantage de permettre d*etendre le reseau au lieu 
d* habitation des joueurs, Les machines de jeux sont de 
preference constituees par des ordinateurs personnels 
300 et 300' de type PC, Les machines peuvent ainsi etre 
connectees chacune a un transcripteur de donnees sur 

15 carte de jeu 310 ou 310* integrant de preference un 
MODEM 130 ou 130', par example du type "GEMTEL" 
commercialise par la demanderesse, 

Le reseau utilise peut §tre notamment un reseau de 
communication ouvert du type "INTERNET". 

2 0 II est prevu en outre que le systeme et le reseau 

comportent au moins un terminal de chargement 
represente a la figure 1 sous forme d*une caisse 
enregistreuse 100. Le terminal de chargement 100 
comporte alors un trans"cripteur 110. Le terminal 100 et 

25 le transcripteur 110 sont alors relies au reseau par 
1 ' intermediaire d*un MODEM 111 connects aux moyens de 
liaison 123. 

Classiquement , il est prevu que les cartes a puce 
dediees aux jeux sont des cartes non-rechargeables , a 
30 I'instar des cartes telephoniques, et elles sont 
fabriquees et chargees uniquement par un organisme 
central . 

Dans une application avec des cartes non- 
rechargeables, il est prevu que la base de donnees BD 
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des moyens centralises de gestion 1 dispose des soldes 
SI, S2, Sn initiaux des valeurs creditees sur les 

cartes CJl , CJ2 , . . . , CJn avant leur mise en 
circulation. 

5 Cependant, selon une variante avantageuse, il est 

prevu que les cartes sent rechargees en unites de 
valeurs par 1 ' intermediaire de terminaux de chargement. 

En pratique, ce terminal peut etre celui d'un 
caissier du casino, De fa^on alternative, on peut 

10 prevoir une multitude de terminaux de chargements 
disposes dans des debits de tabac ou dans d'autres 
commerces accessibles aux joueurs. 

Ainsi lorsqu*un joueur desire obtenir la delivrance 
d*un credit, il donne sa carte de jeu CJl a I'operateur 

15 habilite a utiliser le terminal 100 qui insere cette 
carte dans la partie transcripteur 110 de ce terminal 
100 et qui au moyen du clavier de la caisse va rentrer 
le montant du credit que desire avoir le joueur. Ce 
montant est transfere au transcripteur 110 qui 

20 enregistre alors sur la carte a puce CJl 1 ' information 
significative correspondant au credit desire par le 
joueur • 

Selon 1' invention, le terminal de rechargement peut 
alors communiquer a I'organe central de gestion 1, par 

25 1 * intermediaire des moyens de liaison du reseau 123, 
les donnees lues sur la carte a recharger, notamment 
son numero d * identification Id et son solde S d 'unites 
de valeur* La verification du numero d • identification 
Id de la carte de jeu CJl peut etre faite directement 

3 0 par le terminal de rechargement 100 ou par son' 
transcripteur de donnees 110 ou de maniere alternative 
par I'organe central de gestion 1. L' invention prevoit 
ainsi une etape preliminaire aux operations de jeu, 
consistant a inscrire dans la base de donnees de 
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I'organe central de gestion 1 et dans la memoire d'une 
carte de jeu CJl, des donn^es representatives d'une 
valeur de solde initial lors d'une operation 
preliminaire de chargement de la carte CJl. 
5 Selon la premiere alternative, il est prevu coinine 

visible a la figure 2 que le terminal de rechargement 
ou son transcripteur T dispose des clefs 
d' identification secretes Ktl, Kt2 , Ktn de toutes 

les cartes de jeu CJl, CJ2, -•*/ CJn en circulation. 

10 Ces cles secretes sont de preference stockees dans un 
module de securisation MSl comportant une memoire et 
une unite de calcul, les donnees stockees n'etant pas 
accessibles de I'exterieur. Le terminal 100 verifie 
alors que 1 • identification Idl de la carte a puce CJl 

15 est correcte avec la clef Ktl correspondante, en 
appliquant un algorithme d' authentif ication ou de 
cryptage selon les methodes connues. 

Selon la seconde alternative, cette 

authentif ication de la carte est effectuee au niveau de 

20 I'organe central de gestion 1, les numeros 
d* identification Idl,Id2, . . . ,Idn et les clefs 
d' authentif ication correspondantes Ktl, Kt2 , Ktn 
etant stockees dans la base de donnees BD de l*organe 
central de gestion ou de preference dans un module de 

25 securite MSG similaire a MSI. Cette seconde alternative 
presente I'avantage d'eviter toute dissemination des 
clefs d 'authentif ication secretes, 

L* invention prevoit en outre un echange de donnees 
entre le terminal et l*organe central de gestion 

3 0 portant sur les donnees stockees dans la base de 
donnees de I'organe central de gestion 1. De 
preference, cet echange de donnees est accompagne d'un 
certificat d ' authentif ication* Un protocole de 
securisation permettant d'emettre de tels certificats 
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sera detaille ci-apres. Ce protocols evite 
avantageusement qu'une machine parasite du reseau ne 
credits abusivement la base de donnee, Le terminal T 
peut ainsi communiquer le solde S des valeurs debitees 
5 et/ou creditees precedemment sur la carte de jeu CJl a 
I'organe central de gestion !• Apres avoir authentifie 
le numero d ' identification Idl de la carte ou le 
certificat accompagnant les donnees de solde, on peut 
ainsi verifier que le solde S inscrit en memoire de la 

10 carte de jeu CJl correspond bien au solde SI stocke 
dans la base de donnees BD. Si la verification est 
positive, il est prevu que I'organe central de gestion 
1 emet un signal d' accord pour le rechargement de la 
carte CJl par le terminal et le transcripteur T. En cas 

15 de verification negative, une procedure ou un signal 
d'alerte peuvent etre mis en oeuvre au niveau de 
I'organe central de gestion 1, ou au niveau du terminal 
de chargement. Dans un reseau de machines a sous de 
casino par exemple, le caissier pourra etre alerte par 

20 le terminal de chargement afin de decouvrir I'origine 
d'un tel dysf onctionnement, Dans un reseau plus etendu, 
on peut prevoir que la carte CJl soit avalee par le 
transcripteur T du terminal afin d'enqueter sur le 
dysf onctionnement . — 

2 5 On peut prevoir en outre que la base de donnees ou 

la memoire des cartes de jeu CJ comportent des 
informations sur le joueur, par exemple sur son ^ge, 
ses habitudes de jeu pour des applications de 
fidelisation des joueurs, de remise de parties 

3 0 gratuites; etc. 

Nous allons presenter maintenant des protocoles de 
controle de transferts d* unites de valeur au cours 
d* operations de jeu effectuees avec le procedi ou le 
systeme selon 1^ invention. 
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Au debut des operations de jeu, le transcripteur de 
donn^es sur carte 210 de la machine de jeu lit le 
numero d * identification en memoire de la carte de jeu 
CJl. Comme expose prec^demment au vu de la figure 2, ce 
5 numero d * identification Id est de preference 
authentifie par un module de securite MSI prevu dans le 
transcripteur T. Le numero Id peut ^ventuellement etre 
communique a I'organe central de gestion 1 en vue 
d' authentif ier la carte CJl avec la clef 

10 d' identification Ktl contenue dans le module de 
securite MSO. Cette etape d ' identification est de 
preference effectu^e une seule fois pour plusieurs 
operations de jeu avec la meme carte sur la meme 
machine, la machine ou le terminal memorisant 

15 eventuellement ce numero d ' identification Id pour les 
operations suivantes, 

A chaque operation de jeu suivante, le solde S des 
unites de valeur affecte au joueur est revu a la suite 
des mises ou des gains realises. 

2 0 Selon un premier mode de realisation de 

1' invention, il est prevu de communiquer simplement a 
I'organe central de gestion 1 des donnees relatives a 
1* operation de jeu effectuee, notamment le nouveau 
solde d' unites de vaTeur obtenu au cours de cette 
25 operation de jeu. L'organe central de gestion 1 peut 
ainsi stocker la liste des operations effectuees, sous 
forme d*une liste des credits ou des debits successifs 
enregistrers sur la carte CJl. Cette liste des 
operations OplOl , Opl02 , , . . , OplOx est par exemple 

3 0 enregistree dans la base de donnees BD sous le numero 

d' identification Idl de la carte CJl en cours 
d * utilisation . 

La recopie du solde SI ou des operations OplOl, 
Opl02, ... , OplOx dans la base de donnees BD de 
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I'organe central de gestion 1 sert alors a etablir un 
releve comptable des operations ou a effectuer des 
verifications fiscales. Un tel historique des 
operations permet egalement lors d*une verification 
5 d'une carte falsifies de inesurer I'etendue de la 
f raude. 

Selon un deuxieme mode de realisation de 
1' invention, il est prevu une etape supplementaire 
consistant a verifier que les donnees en memoire de la 
10 carte CJl et les donnees de la base de donnees BD 
correspondent afin de controler 1 * integrite d'un 
systeme constitue par une telle carte CJl, une telle 
machine 200, le reseau 123 et I'organe central de 
gestion 1. 

15 Deux types de verification peuvent etre prevues, la 

verification pouvant porter sur le numero 
d* identification Id ou sur le soide S de la carte. 

La verification du numero d * identification Idl de 
la carte CJl est effectuee avec une cle 

2 0 d' identification Ktl comme on I'a vu precedemiuent, 
Selon ce deuxienie mode de realisation, le numero 
d' identification Id est communique a I'organe central 1 
via les moyens de liaison 123 du reseau. L'organe 
central 1 stocke les -cles d' identification Ktl, Kt2, 

25 Ktn des cartes CJl, CJ2 , CJn en circulation, 

dans sa base de donnee BD ou de preference dans un 
module de securisation MSO. Le module de securisation 
MSO effectue ainsi les calculs d * identification en 
interne. 

30 De plus, la verification peut porter sur le solde 

d' unites de valeur de la carte CJl, Dans ce cas, le 
transcripteur T lit sur la carte les donnees de solde S 
des unites de valeur et les envoie a I'organe central 
de gestion 1 par 1 * intermediaire des moyens de liaison 
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du riseau 123 , La verification du solde S de la carte 
CJl est alors effectuee par rapport au solde SI indique 
dans la base de donnees BD sous le numero 
d' identification Idl, Si les deux soldes S et SI 
5 correspondent, 1* operation de jeu est autorisee par 
I'organe central de gestion 1. 

Selon une autre alternative, la verification peut 
porter sur la certification des donnees echangees a 
partir de la carte de jeu CJl. Des algorithmes 

10 standards d'encryptage de donnees type algorithxne DES 
permettent en effet de certifier les donnees numeriques 
echangees entre la carte CJl, le transcripteur T, la 
machine de jeu et I'organe central de gestion 1. Le 
cryptage et le decryptage du certificat accoinpagnant 

15 les donnees transmises n'est possible et coherent que 
si on utilise une cle secrete. 

Les algorithmes de cryptage de donnes de type DES 
coiaportent des series de calculs complexes qui ne 
seront pas detailles dans la presente. 

20 Un exemple de mise en oeuvre d'algorithme DES sera 

expose en considerant simplement que l*algorithme 
fournit un nombre crypte, appele clef de session K', a 
partir d'un premier nombre donne, appele clef 
d ' identification K et "d'un nombre aleatoire Rnd, selon 

25 1' exemple de la formule suivante ; 

K' = DES(K, Rnd) 

La coTnplexite des algorithmes DES rend impossible 
la decouverte d'une clef d ' identification secrete K a 
3 0 partir de la clef de session K' et du nombre aleatoire 
Rnd. 

La figure 3 montre un exemple d * application d*un 
algorithme DES. II permet d'illustrer des moyens de 
securisation du reseau, en particulier la securisation 
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des echanges de donnees effectuees via les moyens de 
liaison du reseau. La carte de jeu dispose dans une 
zone memoire inaccessible d'au moins une cle 
d' identification secrete Kt. Le microprocesseur de la 
5 carte genire un nombre pseudo aleatoire Rndl. A partir 
de ces deux nombres Rndl et Kt, I'algorithme DES mis en 
oeuvre par le microprocesseur calcule une clef de 
session Kt » , 

Cette clef de session Kt* peut servir de certificat 
10 d 'authentif ication et §tre envoyee avec le nombre 
aleatoire Rndl et les donnees a certifier. Cependant, 
pour rendre toute decouverte des clefs impossible, il 
est prevu d'appliquer une seconde fois l*algorithme 
DES, Comme visible figure 3, la carte de jeu, organe 
15 emetteur du message a certifier, demande a 1' organe 
destinataire, 1* organe central 1 par exemple, de lui 
fournir un second nombre aleatoire Rnd2 . 

L'algorithme DES est a nouveau applique a la clef 
de session Kt' et au second nombre aleatoire Rnd2 par 

2 0 le microprocesseur de la carte pour calculer un 

certificat C, 

Le message de donnees est alors envoye a 1' organe 
destinataire accompagne du certificat C et du nombre 
aleatoire Rndl calcule*s par la carte, Ainsi les clefs 
25 utilisees, en particulier la clef d' identification 
secrete Kt, ne sont pas echangees. 

L' authentif ication du message de donnees est 
effectue en recalculant un certificat C a partir des 
m§me donnees. L' organe central de gestion 1 dispose 

3 0 dans son module securise MSO de la clef 

d * identification secrete Kt, Le module securise MSO 
peut done calculer la clef de session Kt* a partir de 
la clef d» identification Kt et du nombre aleatoire 
Rndl. 
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Le module securise MSO dispose encore du nombre 
aleatoire Rnd2 qu'il a fourni precedemment a la carte 
de jeu. A partir de ces deux norabres Rnd2 et Kt', le 
module de securite MSO calcule ^ nouveau un certificat 
5 C en appliquant une seconde fois 1 'algorithnie DES. 

En v^rifiant que le certificat C calcule par la 
carte correspond au certificat C* recalcule par son 
module de securite, I'organe central peut authentifier 
le message de donnee regu- 

10 Notons que la cle de session Kt* et le certificat C 

sont recalcules a chaque certification de message 
desiree. On evite ainsi que une machine pirate du 
reseau obtienne I'acces a la base de donnee ou a la 
memoire de la carte en recopiant une certification 

15 precedent e* 

Apres avoir effectue une ou plusieurs de ces 
verifications, I'organe central 1 envoie un signal 
d* accord qui peut etre crypte ou encode. Avec un tel 
signal d' accord, le joueur peut utiliser sa carte de 

20 jeu CJl, effectuer des mises, des operations de jeu et 
recharger sa carte avec ses gains. 

Dans ces deux premiers modes de realisation, on a 
vu que la carte a une fonction d ' identification, son 
numero Id permettant ~k I'organe central 1 ou a la 

25 machine de jeu de la reconnaitre voire de reconnaltre 
le joueur dans certaines applications de fidelisation 
de clientele. De plus, la carte a une fonction de 
porte-monnaie , le solde d* unites de valeur etant stocke 
dans la carte et connu essentiellement par la carte, la 

30 recopie de solde dans I'organe central 1 servant aux 
fins de verification. 

Selon un troisieme mode de realisation, la 
fonction porte-monnaie n'est plus assuree par la carte 
mais par I'organe central de gestion lui-meme. La carte 
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ne coinporte alors aucune donnee relative au sold© du 
joueur mais uniquement des donn^es d' identification, 
telles que le num^ro d' identification Id, plusieurs 
clefs Kta, Ktb, Ktc d ' authentif ication et 
5 eventuellement des informations sur le joueur. Les 
donnees de solde SI des unites de valeur sent alors 
uniquement stockees dans la base de donnees BD de 
I'organe central de gestion 1. Ce compte d* unites de 
valeur se trouve par exemple dans la base de donnees 

10 sous le nuiuero d ' identification Idl. 

Lors d'une operation de jeu, le nuinero 
d' identification Id de la carte CJl est envoye a 
I'organe central de gestion 1 via les inoyens de liaison 
123 du reseau. Le numero d * identification Id peut §tre 

15 envoye directement par la machine de jeu 200 ou par son 
transcripteur 210 s*il a §te memorise par la machine ou 
par son transcripteur, Le numero d* identification Id 
peut aussi §tre lu sur la carte et envoye & I'organe 
central de gestion 1 par le transcripteur 210 k chaque 

2 0 operation de jeu, 

Apres verification du numero d * identification Id, 
I'organe central de gestion 1 consulte la base de 
donnees BD et envoie a la machine de jeu 2 00 le solde 
SI des unites de valeuir^af f ecte S la carte CJl, 

25 De preference le transfert des donnees de solde 

d' unites de valeur est effectue avec un certificat 
selon le protocole de securisation des echanges de 
donnees pr^sente precedemment . 

Un avantage de ce troisieme mode de realisation 

30 est que les montants mis en jeu sont stockes dans 
I'organe central de gestion 1, ce qui evite toute 
memorisation de valeur au niveau des cartes de jeu, 

Selon ce troisi&me mode de realisation, il est 
done prevu de stocker, dans la base de donnees des 
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TOoyens centralises de gestion, les donnees 
representatives du solde des valeurs debitees et/ou 
creditees afin d'eviter une fraude a partir d'une carte 
a puce. 

5 Le controle consiste siinplement dans ce troisieme 

mode de realisation a verifier le numero 
d* identification Id de la carte de jeu CJl avec une cle 
d' identification Ktl lue dans la base de donnees BD de 
I'organe central de gestion 1 afin de contrdler 

10 I'integrite de la carte. 

Avec ces trois modes de realisation de 1' invention 
on a vu qu'on peut avantageuseinent controler 
I'integrite des cartes de jeu utilis^es sur les 
machines de jeu. 

15 De plus, en mettant en oeuvre des moyens de 

securisation des echanges de donnees, 1* invention 
permet avantageuseinent de verifier I'integrite d'un 
systeme forme par les cartes de jeu/ le reseau de 
machines de jeu et la base de donnees de I'organe 

20 central de gestion, I'integrite d'un des trois Elements 
du systeme, soit une carte de jeu, soit le riseau, soit 
la base de donnees etant verifies a I'aide des deux 
autres elements. 

L' invention prevoit en effet un systeme apte a 

25 mettre en oeuvre le precede selon 1' invention. 

Un tel systeme comporte une pluralite de machines 
de jeu, chaque machine etant pourvue d'un transcripteur 
apte a debiter des unites de valeur d'une carte de jeu, 
les machines etant reliees en reseau avec un organe 

30 central de gestion par 1 ' intermediaire de moyens de 
liaison. 

Selon 1* invention, les donnees representatives des 
operations de jeu effectuees avec une carte a puce sur 
une machine de jeu sont stockees en memoire de la carte 
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de jeu et parallelement dans une base de donn€es prevue 
dans I'organe central de gestion. 

Les donnees stockees sont notamment les donn^es 
d • identification de la carte et le solde ou les soldes 
successifs d* unites de valeur debitees et/ou cr§ditees 
avec la carte, 

Des moyens de contrdle tels qu*un programitie 
d'ordinateur effectuant 1 ' authentif ication du numero 
d' identification de la carte ou la comparaison des 
valeurs de solde stockees sur la carte et dans la base 
ou encore la certification des donnees ^changees sont 
prevus afin de verifier l*integrite du systeme. 

De preference, pour securiser les echanges de 
donnees sur le reseau, il est prevu qu'un module de 
securisation calcule un certificat d* authentif ication a 
partir de donnees secretes stockees en memoire du 
module et en ce que les moyens de controle verifient 
que le certificat d ' authentif ication calcule par le 
module de securisation correspond au certificat 
d* authentif ication calcule par la carte de jeu ou par 
un autre module de securisation. 

De tels modules de securisation MSO, MSI peuvent 
etre disposes dans les cartes du jeu CJl, CJ2, .../ 
CJUf ou au niveau des transcripteurs 10, 110, 210, 
210', 210'', 210''', 310, des machines de jeu 200, 
2 00*, 200'*, 200**', de I'organe central de gestion 1 
ou meme sur les moyens de liaison 123 du reseau. 

On peut en particulier prevoir plusieurs modules 
ou des moyens repartis de securisation au sein du 
reseau. Chaque transcripteur 10, 210, 210', 210", 
210"', ou chaque interface 11, 120, 120*, 120", 120"' 
comprend par exemple un module de securisation de sorte 
que les echanges de donnees sur les moyens de liaison 
123 son accompagnes de certificat d ' authentif ication. 
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Par exemple le transcripteur 10 emetteur ajoute ^ son 
message son certificat qui est authentifie par le 
transcripteur 210 destinataire avant d'etre transmis h 
la machine 2 00 correspondante, 
5 D*autres variantes de realisation, avantages et 

caracteristiques de 1' invention; apparaitront a I'homitie 
du metier sans sortir du cadre des revendications ci- 
apres. 
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REVENDICATIONS 

!• Precede securise de contrdle de transferts 
d* unites de valeur entre une pluralite de cartes de jeu 
5 (CJ, CJl, CJ2, CJn) et une pluralite de machines de jeu 

(200, 200', 200", 200»'\ 300, 300', 300"), chaque 
machine etant connectee a un transcripteur (210) de 
donnees sur carte de jeu (CJ2)/ les machines etant 
reliees en reseau securise avec un organe central de 
10 gestion (1) par 1 * interm^diaire de moyens de liaison 

(123) , le precede comportant des etapes consistant, au 
cours d'une operation de jeu, a : 

- lire des donnees en memoire d*une carte de jeu, 
notaminent un numero d * identification (Id) de la carte 

15 (CJl) et/ou des donnees (S, Opl, 0p2 , Opx) 
representatives des unites de valeur debitees et/ou 
creditees au cours des operations de jeu precedentes, 
le precede etant caracterise en ce qu*il comporte des 
etapes consistant a : 

20 - echanger des donnees entre la machine (200) et 

une base de donnees (BD) de 1' organe central de gestion 
(1) par 1 ' intermediaire des moyens de liaison (123) du 
reseau securise, notamment des donnees representatives 
de solde (S) des unites de valeur et/ou le numero 

25 d * identification (Id) de la carte ; et, 

- verifier que les donnees en memoire de la carte 
de jeu (CJl) correspondent aux donnees de la base de 
donnees (BD) afin de controler I'integrite d*un systeme 
constitue par une telle carte, une telle machine, le 

30 reseau et 1 ' organe central de gestion. 

2. Precede selon la revendication 1, caracterise par 
una etape preliminaire aux operations de jeu, 
consistant a : 
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- inscrire, dans la base de donnees (BD) de 
I'organe central de gestion (1) et dans la memoire 
d'une carte de jeu (CJl) . des donnees representatives 
d'un solde (S, SI) initial d'unitfes de valeur lors 
d'une operation prSliminaire de chargement de la carte. 

3. Precede selon I'une des revendications 
precedentes, caracterise par une etape consistant, au 
cours d'une operation de jeu, a : 

- inscrire, dans la base de donnees (BD) de 
I'organe central de gestion (1), des donnees 
representatives du solde (SI) des unites de valeur de 
la carte de jeu (CJl) . 

4. precede selon I'une des revendications 
precedentes, caracterise par une 6tape consistant, au 
cours d'une operation de jeu, S : 

- recevoir les donnees representatives du solde 
(SI) des unites de valeur a partir de I'organe central 
de gestion (1) afin d'eviter une fraude a partir d'une 
carte (CJ2) ou d'une machine de jeu (200). 

5. Procede selon I'une des revendications 
precedentes, caracterise en ce que I'^tape de 
verification consiste a : 

- verifier les donnees representatives de solde 
(S) des unites de valeur lues en memoire de la carte de 
jeu (CJl) par rapport aux donnees (SI) lues dans la 
base de donnees (BD) afin de controler I'integrite de 
la carte de jeu (CJl) . 

6. Procede selon I'une des revendications 
precedentes, caracterise en ce que 1 ' fetape de 
verification consiste a : 

- verifier le numero d ' identification (Id) de la 
carte de jeu (CJl) avec une cle d ' identif ication (Ktl) 
lue dans la base de donnees (BD) de I'organe central de 



gestion (1) afin de controler I'integrite de la carte 
de jeu (CJl) • 

7. Precede selon I'une des revendications precedentes 
caracterise en ce que le reseau comporte en outre des 
moyens de securisation (MSO) , le precede comportant une 
etape supplementaire consistant a : 

- prevoir que les moyens de securisation (MSO) du 
reseau calculent un certificat d* authentif ication (C*) 
a partir de donnees secretes (Kt, Kt*) en memoire des 
moyens de securisation. 

8- Precede selon la revendication 1, caracterise par 
une etape supplementaire consistant a : 

lire un certificat d* authentif ication (C) 
calcule par la carte de jeu (CJl) a partir de donnees 
secretes (Kt, Ktl) en memoire de la carte. 

9. Precede selon la revendication 8 caracterise en ce 
que 1' etape de verification consiste a : 

- verifier que le certificat d ' authentif ication 
(C) calcule par la carte de jeu (CJl) correspond au 
certificat d ' authentif ication (C) calcule par les 
moyens de securisation (MSO) du reseau, 

10. Precede selon l*une des revendications precedentes 
caracterise en ce que le reseau comporte en outre des 
moyens de securisation repartis (MSO, MSI) , le precede 
comportant des etapes supplementaires consistant a : 

- prevoir que des premiers moyens de securisation 
(MSO) du reseau calculent un premier certificat 
d' authentif ication (C) a partir de donnees secretes 
(Kt, Kt') en memoire des premiers moyens de 
securisation (MSO) , et 

- prevoir que des seconds moyens de securisation 
(MSI) du reseau calculent un second certificat 
d' authentif ication a partir de donnees secretes en 
memoire des seconds moyens de securisation (MSI) , et 
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verifier que le premier certificat 
d 'authentif ication (C) calcule par les premiers moyens 
de securisation (MSO) du reseau correspond au second 
certificat d' authentif ication calcule par les seconds 
5 moyens de securisation (MSI) du r§seau, 

11. Precede selon I'une des revendications 7 a 10 
caracterise en ce que les donn^es (Id, S) echangees 
entre la machine (200) et la base de donnees (BD) de 
1* organs central de gestion (1) sont accompagnees d*un 

10 certificat d' authentif ication (C, C*). 

12. Procede selon I'une des revendications precedentes 
caracterise en ce que des moyens de securisation (MSI) 
sont associes au transcripteur (T, 10, 110, 210) de 
donnees sur carte de jeu (CJl) afin de contrdler 

15 I'integrite d*une telle carte . 

13. Procede selon I'une des revendications precedentes 
caracterise en ce que des moyens de securisation (MSI) 
sont associes a une machine de jeu (T, 200, 300) . 

14. Procede selon I'une' des revendications precedentes 
20 caracterise en ce que des moyens de securisation sont 

associes aux moyens de liaison du reseau. 

15. Procede selon I'une des revendications precedentes 
caracterise en ce que des moyens de securisation (MSO) 
sont associes a I'organe central de gestion (1) afin de 

25 controler 1* integrity du reseau. 

16. Systeme securise de controle de transferts 
d' unites de valeur entre une pluralite de cartes de jeu 
(CJ) et une pluralite de machines de jeu (200, 300) , 
chaque machine etant pourvue d'un transcripteur (210, 

3 0 310) apte a debiter des unites de valeur d'une carte de 
jeu (CJ) , les machines etant reliees en reseau securise 
avec un organe central de gestion (1) par 
1 ' intermediaire de moyens de liaison (123), une carte 
de jeu (CJl) stockant en memoire des donnees (S, Opl, 
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Op2 , Opx) representatives d ' operations de jeu 
effectuees, notamment des donnees d' identification (Id) 
de la carte et des donnees representatives de solde (S) 
des unites de valeurs debitees et/ou creditees au cours 
5 des operations de jeu precedentes, caracteris^ en ce 
que I'organe central de gestion (1) comporte une base 
de donnees (BD) stockant parallelement en memoire les 
donnees (SI, OplOl, 0pi02, OplOx) representatives des 
operations de jeu effectuees, notamment les donnees 

10 d' identification (Idl, Id2, Idn) des cartes et les 
donnees representatives des soldes (SI, S2, Sn) des 
unites de valeur debitees et/ou creditees au cours des 
operations de jeu precedentes et en ce que des moyens 
de controle (BD) verifient que, pour une carte 

15 identifiee, les donnees de la base (BD) et les donnees 
de la carte (CJl) correspondent, notamment que les 
donnees {S, SI) representatives du solde d 'unites de 
valeur correspondent, afin de verifier I'integrite du 
systeme. 

20 17. Systeme securise selon la revendication 16, 
caracterise en ce que la carte de jeu (CJl) calcule un 
certificat d' authentif ication (C) k partir de donnees 
secretes (Kt, Kt*) stockees en memoire de la carte 
(CJl). 

25 18. Systeme securise selon la revendication 16 ou la 
revendication 17, caracterise en ce qu'il comporte en 
outre au moins un module de securisation (MSO, MSI), le 
module de securisation calculant un certificat 
d'authentification (C) a partir de donnees secretes 

30 (Kt, Kt') stockees en memoire du module (MSO) et en ce 
que les moyens de controls (MSO) verifient que le 
certificat d 'authentif ication (C) calcule par le 
module de securisation correspond au certificat 
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d'authentif ication (C) calcule par la carte de jeu ou 
par un autre module de securisation (MSI) . 

19. Systeme securise selon la revendication 18, 
caracterise en ce qu'un module de securisation (MSI) 

5 est dispose dans le transcripteur (T, 10, 210, 310). 

20. Systeme securise selon l*une des revendications 18 
et 19^ caracterise en ce qu'un module de securisation 
(MSG) est dispose dans une machine de jeu (200) . 

21. Systeme securise selon l*une des revendications 18 
10 a 20, caracterise en ce qu'un module de securisation 

est dispose sur les moyens de liaison du reseau. 

22. Systeme securise selon I'une des revendications 18 
a 21, caracterise en ce qu'un module de securisation 
(MSG) est dispose dans I'organe central de gestion (1). 

15 23. Precede ou systeme securise selon I'une des 
revendications precedentes caracterise en ce qu*une 
carte de jeu est une carte a puce. 

24. Precede ou systeme securise selon l*une des 
revendications precedentes caracterise en ce qu'une 

2 0 carte de jeu est une carte sans contact. 

25. Precede ou systeme securise selon I'une des 
revendications precedentes caracterise en ce qu'une 
carte de jeu est une carte bancaire. 
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d'authentif ication (C) calculi par la carte de jeu ou 
par un autre module de securisation (MSI) . 

19. Systeme securise selon la revendication 18, 
caracterise en ce qu'un module de securisation (MSI) 

5 est dispose dans le transcripteur (T, 10, 210, 310), 

20. Systeme securise selon I'une des revendications 18 
et 19, caracterise en ce qu'un module de securisation 
(MSO) est dispose dans une machine de jeu (200) . 

21. Systeme securise selon l*une des revendications 18 
10 a 20, caracterise en ce qu'un module de securisation 

est dispose sur les moyens de liaison du reseau. 

22. Systeme securise selon l*une des revendications 18 
a 21, caracterise en ce qu'un module de securisation 
(MSO) est dispose dans I'organe central de gestion (1). 

15 23. Systeme securise selon 1 ' une des revendications 16 
a 22, caracterise en ce qu'une carte de jeu est une 
carte a puce. 

24. Systeme securise selon 1 ' une des revendications 16 
a 23, caracterise en ce qu'une carte de jeu est une 

2 0 carte sans contact, 

25. Systeme securise selon 1 * une des revendications 16 
a 24, caracterise en ce qu^une carte de jeu est une 
carte bancaire. 
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